設備簡介
防火牆(英文:firewall)是一項協助確保信息安全的設備,會依照特定的規則,允許或是限制傳輸的數據通過。防火牆可以是一台專屬的硬體也可以是架設在一般硬體上的一套軟體。Windows防火牆顧名思義就是在Windows作業系統中系統自帶的軟體防火牆。
防火牆對於每一個電腦用戶的重要性不言而喻,尤其是在當前網路威脅泛濫的環境下,通過專業可靠的工具來幫助自己保護電腦信息安全十分重要。市場上防毒軟體的品牌繁多但並非每一款都為用戶提供了防火牆功能,於是很多網友是安裝了防毒軟體又還要找一款專業的防火牆,這有點捨近求遠的感覺,因為Windows作業系統就有自帶的防火牆。
WIN7
Windows 7 防火牆
簡潔易用的啟動方式
Windows 7作業系統發布已經一周年,其美觀性和易用性廣泛受到用戶的好評,在系統安全性方面Windows 7也作出了很多的改進包括UAC和防火牆功能,Win7自帶的防火牆與老版Windows系統的防火牆功能相比功能更實用,且操作更簡單。如防火牆的啟動,我們只需從Windows 7開始選單處進入控制臺,然後找到"系統和安全"項點擊進入即可找到"Windows防火牆"功能。如圖
然後左邊我們可以看到5個關聯的設定
1、允許程式或功能通過windows防火牆
2、更改通知設定
3、打開或關閉windows防火牆
4、還原默認設定
5、高級設定
其中點擊第一個設定"允許程式或功能通過windows防火牆"即進入如圖界面
這個是最基礎的通行與否,就像當初的XP就是這樣的,添加規則很簡單,點擊“允許運行另一程式”,選擇你想要添加的程式即可,但是我們可以看到還是區分了專用網路和公用網路的這邊只要最基礎的通行或者不通行,沒有連線埠,更不用TCP和UDP。因為對於一般人來說,只是需要設定程式是否需要聯網,而不會區分一條條的規則,而更高級的規則,將在稍後講到(這邊添加的程式,根據程式對應的服務,可能會在後面產生多條規則)。
打開第二個更改通知設定和第三個打開或關閉windows防火牆效果一樣,出來的是如下界面:
這邊就可以打開和關閉windows防火牆,切家庭或工作網路和公用網路是分開的。至於提醒,還是按照默認的勾上,阻止所有連入連線不用勾上,不然會影響某些程式的運行。
打開第四個還原默認設定,進入如圖界面
如果自己覺得自己配置的亂七八糟或者規則十分混亂,那么可以選擇還原默認設定,那么防火牆的規則就會恢復到初始的狀態(謹慎使用)
設定
在Windows防火牆設定中,很多電腦用戶可能知道,一旦防火牆設定不好除了會阻止網路惡意攻擊之外,甚至會阻擋用戶正常訪問網際網路,所以不敢輕易動手。如果是安裝了專業的全功能安全軟體,那這個難題完全交給它就能很好解決,但需要我們手動來開啟Windows防火牆也並不困難。點擊進入"打開或 關閉Windows防火牆"設定視窗,輕鬆點擊兩下滑鼠即可開啟防火牆,而且就算你錯誤進行了某些操作影響上網也不必擔心了,這次Windows 7作業系統提供了防火牆還原默認設定功能,輕輕點一下滑鼠馬上將防火牆還原到初始狀態,有問題重新設定吧!
覆蓋各種需求的用戶
高級用戶如果是非常了解Windows防火牆的可以進行更加詳細全面的配置,進入"高級設定"項中,包括出入站規則、連線安全規則等都可以從這裡進行自定義配置。當然,如果你已經安裝有全功能專業安全軟體,那么所有這些都交給安全軟體代為管理就不必自己麻煩了。
“Windows 7高級防火牆”的“入站規則”和“出站規則”里,針對每一個程式為用戶提供了三種實用的網路連線方式:
- 允許連線:程式或連線埠在任何的情況下都可以被連線到網路。
- 只允許安全連線:程式或連線埠只有IPSec保護的情況下才允許連線到網路。
- 阻止連線:阻止此程式或連線埠的任何狀態下連線到網路。
設定防火牆
設定Windows8系統防火牆
系統的安全性是用戶們應該時常注意的問題,而在防毒軟體的保護之外,我們還建議通過開啟系統自帶的防火牆來進一步鞏固系統的安全防衛。接下來,小編就將詳細介紹如何開啟Win8的防火牆。
首先自然是要找到Win8中防火牆的位置。將滑鼠移動至螢幕右下角調出“Charm欄”選擇設定,在這裡點擊“控制臺”進入控制臺界面。再點擊控制臺中的“系統和安全”打開系統和安全視窗,在這裡我們就能看到“Windows防火牆”的選項了。
進入防火牆之後,我們將目光移動到視窗左側,這裡就可以看到“啟用或關閉Windows防火牆”的選項,在這裡我們可以自定義這類網路的設定。我們建議的設定是啟用所有網路下的防火牆,並且打開在阻止新套用時通知。
此外,“阻止所有傳入連線,包括位於允許套用列表中的套用”這個選項,我們建議在專用網路中關閉,在公用網路中最好啟用。
這裡有涉及到了一個“允許套用列表”的概念,顧名思義在允許套用列表中的套用不會被防火牆禁止,那么這個要怎么設定呢?在防火牆視窗的左側我們能看到“允許套用或功能通過防火牆”的選項,在這裡我們可以自行添加和刪除允許的套用。
至於最後的“高級選項”,一般的普通用戶基本接觸不到,我們也不用費神地去思考。有了Windows防火牆和自帶的Windows Defender,我們甚至不用安裝第三方的安全工具都能保證系統的安全。
XP系統
Windows XP 防火牆
微軟在設定Windows XP防火牆內置規則時,已經為自家的應用程式開了“綠色通道”,所以裝上SP2後,即使打開其防火牆並且啟用“不允許例外”,無需將IE加到“例外”就能上網,而防火牆也不會詢問是否要允許IE通過。
僅就防火牆功能而言,Windows防火牆只阻截所有傳入的未經請求的流量,對主動請求傳出的流量不作理會。而第三方病毒防火牆軟體一般都會對兩個方向的訪問進行監控和審核,這一點是它們之間最大的區別。如果入侵已經發生或間諜軟體已經安裝,並主動連線到外部網路,那么Windows防火牆是束手無策的。不過由於攻擊多來自外部,而且如果間諜軟體偷偷自動開放連線埠來讓外部請求連線,那么Windows防火牆會立刻阻斷連線並彈出安全警告,所以普通用戶不必太過擔心這點。這就好像賓館裡的房門一樣——外面的人要進入必須用鑰匙開門,而屋裡的人要出門,只要拉一下門把手就可以了。
實戰1:天網防火牆和Windows防火牆的不同
我們用兩種軟體來分別對QQGame的網路請求進行監控。
第一步:確認不要將QQGame這個程式添加到各自的“例外”規則中,然後登錄QQ遊戲大廳;
第二步:這時你會發現,天網個人防火牆立即阻止QQ遊戲的網路訪問,然後詢問是否給予通行(見圖1);
第三步:而Windows防火牆對這個主動出站的請求不做任何處理,就好像沒有防火牆一樣,輸入帳戶信息後登錄到遊戲平台,QQGame實際上已經完成了往外網路訪問;這時需要將遊戲信息下載到本地(就是有外部訪問請求),防火牆就彈出了“Windows 安全警報”(見圖2)。
小提示
取消“Windows 安全警報”的方法:打開防火牆設定後,在“例外”選項卡中取消選擇“Windows防火牆阻止程式時通知我”即可。
實戰2:讓XP SP2正確識別UPnP(通用即插即用)
戰前分析:BitComet以其擁有區域網路互聯(NAT Traversal)技術,而且支持UPnP的NAT和WindowsXP防火牆,讓區域網路的朋友在進行BT下載時可以獲得相當快的下載速度。但自從升級到SP2並啟用了Windows防火牆後,BitComet軟體速度變得很慢!這是由於防火牆沒有設定好,使得系統沒能正確識別UPnP設備。
第一步:WindowsXP默認是支持UPnP的,如果在“例外”看不到這個選項,則說明沒有安裝UPnP設備支持。打開“網上鄰居”視窗,在其左側的工具列中點擊“顯示聯網的UPnP設備的圖示”,如果UPnP設備檔案沒有安裝或安裝不正確,系統就會自動安裝(見圖3);
第二步:在“控制臺”中打開防火牆並啟動,確認不勾選“不允許例外”這個選項;當打開BitComet後,Windows防火牆有可能會提示你是否要阻止該程式,選擇“解除阻止”;
第三步:點擊“例外”選項卡,勾選“UPnP框架”即可。
實戰3:給遠程管理開個通行證
戰前分析:當通過MMC控制台中的Computer Management(計算機管理)、DiskManagement(磁碟管理)等組件遠程管理程式來管理區域網路上的其他計算機,計算機必須開放TCP 445連線埠。如果在遠程操作已經安裝XPSP2並開啟了防火牆的計算機時,就得手動打開這個TCP連線埠。
第一步:打開防火牆設定視窗,切換到“例外”選項卡,勾選“檔案和印表機共享”
第二步:單擊“編輯”按鈕,在打開的“編輯服務”視窗中選中“TCP 445”,單擊更改範圍,勾選“僅我的網路”或者勾選“自定義列表”並輸入要控制的計算機的IP位址(見圖4)。
小提示
上列步驟可以用命令代替,即在命令提示符視窗中輸入“netsh firewall set portopening TCP 445 TCP445 ENABLE”(不包括引號)。
實戰4:徹底搞定“遠程桌面”連線
戰前分析:通過Windows XPSP2防火牆實現遠程協作的方法很簡單,遠程協作使用的是動態連線埠。在防火牆設定對話框中的“例外”選項卡上“程式和服務”列表中選擇“遠程協作”項目,這樣Windows將自動監視並正確處理來自sessmgr.exe應用程式的所有通訊請求完成連線。WindowsNetMeeting的遠程桌面要複雜一些,儘管在例外選項卡中有“遠程桌面”選項,但是如果你選擇這個選項,實際是開放了TCP的連線埠3389,也可能無法完成遠程桌面連線。
方法:在Windows防火牆打開的情況下,在可以使用WindowsNetMeeting的遠程桌面共享功能之前,必須向Windows防火牆的“例外”選項卡上“程式和服務”列表中分別為WindowsNetMeeting和%systemroot% System32Mnmsrvc.exe檔案和C:ProgramFilesNetMeetingconf.exe檔案分別添加一個條目即可。
實戰5:只讓區域網路來“Ping”我!
戰前分析:在默認情況下XP SP2防火牆不允許ICMP入站數據進入,也就不會回復ICMP返回數據,這樣可以防止檢查網路故障常用的命令工具“Ping”來探測你的計算機,不過這樣對於一些啟用了共享上網的用戶,區域網路就無法用Ping來檢查自己的網路情況了。
方法一:按照實戰2的方法,分別將“檔案和印表機共享”中所打開的TCP連線埠適用於子網即可。
方法二:打開Windows 防火牆,切換到“高級”選項卡,雙擊與區域網路連線的那個“本地連線”,切換到“ICMP”選項卡,勾選“允許傳入的回顯請求”,確認所有操作即可(見圖5)。
控制協定
ICMP協定
ICMP是“Internet Control MessageProtocol”(Internet控制訊息協定)的縮寫,它是TCP/IP協定簇中的一個子協定,用於在IP主機、路由器之間傳遞控制訊息。控制訊息是指網路通不通、主機是否可達、路由是否可用等網路本身的訊息,這些控制訊息雖然並不傳輸用戶數據,但是對於用戶數據的傳遞起著重要的作用。我們在網路中經常會使用到ICMP協定,只不過我們覺察不到而已。比如我們經常使用的用於檢查網路通不通的Ping命令實際上就是ICMP協定工作的過程,還有諸如跟蹤路由的Tracert命令也是基於ICMP協定的。